Nová európska úprava ochrany osobných údajov: sankcie a zodpovednosť

Nové európske nariadenie európskeho parlamentu a rady o ochrane osobných údajov (GDPR) upravuje ukladanie rozsiahlych sankcií s cieľom zosúladiť ochranu osobných údajov v rámci Európskej únie s cieľom zabezpečiť rovnakú úroveň tejto ochrany.

Ďalšou dôležitou zásadou je, že správne pokuty by mali byť nielen účinné a primerané, ale mali by tiež pôsobiť ako odstrašujúci (preventívny) prostriedok pre ostatné subjekty.

Sankcie

Sankcie budú spočívať v ukladaní správnych pokút alebo nápravných opatrení smerujúcich k odstráneniu porušenia, povinnosť opravy alebo vymazania osobných údajov alebo uloženia zákazu ako je obmedzenie alebo zákaz poskytovania osobných údajov do krajín mimo EU/EHS. Namiesto toho alebo spoločne s opatreniami smerujúcimi k odstráneniu porušenia môžu byť uložené správne pokuty. Pri rozhodovaní o uložení a výške pokuty budú príslušné dozorné orgány brať do úvahy povahu, závažnosť a dobu trvania porušenia povinnosti, účel dotknutého spracovania osobných údajov, ako aj počet dotknutých osôb, rozsah škody, ktorú utrpeli, úmyselný alebo nedbanlivostný charakter porušenia, kroky, ktoré boli podniknuté s cieľom zmierniť spôsobenú škodu, miera zodpovednosti, technické a organizačné opatrenia, ktoré boli prijaté ako aj iné priťažujúce alebo poľahčujúce opatrenia.

V prípadoch menej závažných porušení bez významného rizika pre dotknuté osoby môže sankcia viesť iba k administratívnemu upozorneniu bez uloženia peňažnej sankcie. Závažné porušenia ochrany osobných údajov sú následne rozdelené do dvoch kategórií: V prvej kategórii môžu byť uložené sankcie do výšky 10.000.000,00 EUR alebo do 2% celkového celosvetového ročného obratu za predchádzajúci finančný rok (podľa toho, ktorá hodnota je vyššia) v druhej kategórii môžu byť stanovené sankcie až do výšky 20 000 000,00 EUR alebo do výšky 4% celkového celosvetového obratu za predchádzajúci finančný rok (podľa toho, ktorá hodnota je vyššia). Príkladmi porušenia, ktoré patria do prvej kategórie sú okrem iného: nedodržanie zásad špecificky navrhnutej a štandardnej ochrany údajov, nedodržiavanie pravidiel o záznamoch spracovateľských činností, nespolupráca s dozorným orgánom, neoznámenie porušenia ochrany osobných údajov, zanedbanie posúdenia vplyvu na ochranu osobných údajov. Do druhej kategórie porušení patria predovšetkým: nedodržanie podmienok vyjadrenia súhlasu najmä však porušenia týkajúce sa spracúvania osobitných kategórií osobných údajov, nedodržanie požiadaviek na transparentnosť informácií, nedodržiavanie pravidiel prenosu osobných údajov do tretích krajín alebo medzinárodným organizáciám, nedodržanie pravidiel spracúvania v súvislosti so zamestnaním.

Finančné možnosti subjektov nebudú pri ukladaní sankcií zohľadňované, očakáva sa, že dozorné orgány budú koordinovať svoje postupy a pokuty za porovnateľné porušenia ochrany osobných údajov sa budú v rámci EU ukladať v porovnateľnej výške. Predovšetkým menšie podniky by si mali byť vedomé tejto skutočnosti a to z toho dôvodu, že uloženie vysokej pokuty by pre nich mohlo byť likvidačné.

Občianska a trestná zodpovednosť

Dotknuté osoby sa môžu domáhať na súde náhrady hmotnej aj nehmotnej škody, ktorá im bola spôsobená prevádzkovateľom alebo spracovateľom osobných údajov. Druhí menovaní sa budú môcť zbaviť svojej zodpovednosti, za predpokladu, že preukážu, že túto škodu nespôsobili. Podľa článku 80 budú združenia na ochranu spotrebiteľov oprávnené podávať sťažnosti v mene dotknutých osôb. Porušenie ochrany osobných údajov môže mať taktiež tresnoprávne následky: článok 84 bod 149 dôvodovej správy umožňuje jednotlivým členským štátom podľa vlastného uváženia prijať alebo zmeniť predpisy upravujúce trestnoprávnu zodpovednosť za porušenie GDPR.

Kto ponesie zodpovednosť

Okrem zodpovednosti prevádzkovateľa môže rovnako niesť zodpovednosť aj spracovateľ osobných údajov za porušenie ochrany osobných údajov, ktorých sa dopustil individuálne ako aj spoločne a nerozdielne s prevádzkovateľom. Zodpovednej osobe za ochranu osobných údajov nemôže byť uložená žiadna sankcia. napriek tomu táto osoba môže niesť zodpovednosť za náhradu škody v prospech prevádzkovateľa a spracovateľa, za predpokladu, že ich nesprávne usmernil.

 

Kolegovia z našich pobočiek Vám budú kedykoľvek k dispozícii a radi Vám zodpovedajú prípadné ďalšie otázky.